• Author / Uploaded
• Diego Luna

• Categories
• Malware
• Mac OS
• Transport Layer Security
• Internet
• Red mundial

Citation preview

INFORME SOBRE LAS AMENAZAS PARA LA SEGURIDAD DE LOS SITIOS WEB 2013

Preámbulo Está leyendo la edición de 2013 del informe sobre las amenazas para la seguridad de los sitios web elaborado por Symantec. Este documento está ligado a otro más amplio que publicamos todos los años: el informe sobre las amenazas para la seguridad en Internet. En estas páginas, pasaremos revista a lo ocurrido el pasado año para hacer balance de los peligros que acechan en la Red y que podrían afectar a su sitio web y a su negocio.

pág. 2

En Internet, la reputación y el éxito de su empresa dependen de lo seguro que parezca su sitio web a quienes lo visitan. No solo hay que saber ganarse la confianza de los clientes, sino también mantenerla. El protocolo SSL/TLS, pilar de la confianza en la Red desde hace más de una década, resulta muy útil en este sentido, pues sigue ofreciendo una protección intachable frente a las amenazas, que evolucionan constantemente. Aunque se base en tecnologías complejas e innovadoras, su objetivo es sencillo: lograr que las transacciones en Internet sean más seguras para usted, para sus clientes y para todos aquellos que interactúen con su empresa. Este documento le pondrá al día de los peligros a los que se enfrenta en la actualidad y le ayudará a mantener a salvo su infraestructura y su empresa.

Si desea más información, llame al 900 93 1298 o visite Symantec-wss.com/es.

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

Introducción Symantec™ Global Intelligence Network, que consta de unos 69 millones de sensores de ataque y registra miles de eventos por segundo, proporciona varias de las fuentes de datos más completas que existen sobre las amenazas en Internet. Esta red supervisa las amenazas existentes en más de 157 países y regiones mediante una combinación de productos y servicios de Symantec, como Symantec DeepSight™ Threat Management System, Symantec™ Managed Security Services, Symantec Website Security Solutions y los productos de consumo Norton™, además de otras fuentes de datos externas.

pág. 3

Asimismo, Symantec dispone de una de las bases de datos de vulnerabilidades más completas que existen. En estos momentos, hay registradas más de 51 644 vulnerabilidades de más de 16 687 proveedores que se han recopilado a lo largo de más de dos décadas y en más de 43 391 productos. Los datos de spam (correo no deseado), phishing o código dañino (malware) se registran a través de distintos recursos, como Symantec Probe Network —un sistema que abarca más de cinco millones de cuentas señuelo— o Symantec.cloud, entre otras tecnologías de seguridad de Symantec. La tecnología heurística patentada de Symantec.cloud, denominada Skeptic™, detecta los ataques dirigidos a objetivos concretos más nuevos y sofisticados antes de que lleguen a la red del cliente. Cada día, 14 centros de datos procesan más de 3000 millones de mensajes de correo electrónico y más de 1400 millones de solicitudes por Internet. Symantec también recopila información sobre phishing a través de una amplia comunidad antifraude de empresas, proveedores de seguridad y más de 50 millones de consumidores. Gracias a estos recursos, los analistas de Symantec cuentan con fuentes de información insuperables para identificar, analizar e interpretar las nuevas tendencias en materia de ataques, código malicioso, phishing y spam. Con todos estos datos, elaboran el informe anual sobre amenazas para la seguridad en Internet, que ofrece a empresas y consumidores información esencial para proteger sus sistemas de forma eficaz tanto ahora como en el futuro.

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

Resumen ejecutivo Veamos cuáles fueron las tendencias más destacables en 2012.

Las pequeñas empresas, presa fácil para los atacantes Los datos del año pasado ya indicaban que todas las empresas, fueran del tamaño que fueran, estaban en el punto de mira de los atacantes. En 2012, las empresas de hasta 2500 empleados fueron blanco del 50 % de los ataques dirigidos, lo que confirma el peligro que corren. De hecho, las de menos de 250 empleados son el grupo en el que más aumentó la incidencia de este tipo de ataques: un 31 % de ellos apuntaron a estas pequeñas empresas. Lo alarmante es que, según varias encuestas realizadas por Symantec, las pequeñas empresas se sienten inmunes a los ataques, mientras que los agresores no hacen distingos porque lo mismo les da embolsarse el dinero de las grandes empresas que el de las pequeñas. Estas últimas suelen pensar que no interesan a los atacantes, pero olvidan que podrían sustraerles los datos de sus clientes, su propiedad intelectual y el saldo de sus cuentas bancarias. Quien roba a una empresa pequeña tal vez no obtenga un botín tan sustancioso, pero contará con un gran aliciente: la relativa desprotección de muchas pequeñas empresas en Internet. A menudo, la oportunidad de delinquir es el principal motivo para hacerlo. Por eso la indefensión de algunas pequeñas empresas se convierte en detonante del cibercrimen. Para más inri, la falta de medidas de seguridad adecuadas en las pequeñas empresas nos pone en peligro a todos. Cuando una empresa grande tiene una relación comercial con otra de menor tamaño, a veces los atacantes utilizan a esta última para infiltrarse en la primera, ya que así tienen menos obstáculos que salvar. Además, las pequeñas empresas pueden convertirse en instrumentos para llevar a cabo ataques más complejos. En 2012, los ataques basados en Web aumentaron en un tercio debido a los kits de ataque. En muchos casos, las víctimas fueron precisamente pequeñas empresas cuyos sitios web sufrieron un ataque, pero el agravamiento de este fenómeno aumenta el riesgo de infección para todos. A esto hay que añadir algo aún más grave que ya señalamos en el libro blanco sobre el proyecto

pág. 4

Elderwood publicado el año pasado: en algunos casos, los sitios web de las pequeñas empresas se utilizan para orquestar ataques dirigidos a terceros. Las bandas de ciberespionaje, no contentas con los ataques de phishing, secuestran los sitios web que les interesan y esperan a que sus víctimas los visiten para infectarlas. Esta técnica se denomina ataque watering hole o de abrevadero y aprovecha las deficiencias de seguridad de una entidad para burlar las medidas de otra más protegida (la víctima).

Los creadores de malware, un nuevo Gran Hermano Si sospecha que alguien está valiéndose de Internet para invadir su intimidad, lo más probable es que esté en lo cierto. En 2012, el 50 % del malware ideado para atacar dispositivos móviles tenía por objeto el robo de datos o el control de los movimientos de sus propietarios. Independientemente del medio que ataquen (ordenadores, teléfonos móviles o las redes sociales), los ciberdelincuentes buscan maneras de espiarnos para lucrarse. Para ello, se apropian de nuestros datos bancarios, de los números de teléfono y direcciones de correo electrónico de nuestros amigos y socios empresariales, de nuestra información personal y hasta de nuestra identidad. Los creadores de malware son el ojo que todo lo ve. Lo averiguan todo sobre nosotros y utilizan esta información para una práctica aún más reprobable: los ataques dirigidos. Para lograr su cometido, primero se informan sobre las direcciones de correo electrónico que utilizamos, nuestro trabajo, nuestros intereses profesionales y hasta las conferencias a las que asistimos y los sitios web que frecuentamos. Esta información se emplea para preparar y lanzar un ataque con herramientas que se infiltran en nuestros dispositivos para obtener el mayor número de datos posible. Si no se detectan, pueden obtener años de información acumulada: mensajes de correo electrónico, archivos y datos de contacto. Los atacantes nos vigilan cual Gran Hermano de Orwell, pues estas herramientas también sirven para registrar pulsaciones de teclas, visualizar pantallas de ordenador y encender la cámara o el micrófono de un equipo.

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

Resumen ejecutivo En 2012, los más afectados fueron los profesionales especializados (creadores de la propiedad intelectual que codician los atacantes) y el personal de ventas. Estos dos grupos fueron víctimas de un 27 y un 24 % de los ataques, respectivamente. Atacar al director ejecutivo de una empresa ya no interesa tanto; la incidencia de estos ataques descendió un 8 % a lo largo del año

Las vulnerabilidades de día cero, todo un reclamo para los atacantes El número de vulnerabilidades de día cero (catorce en 2012) sigue aumentando. En los últimos tres años, dos grupos han sabido aprovecharlas mejor que nadie para llevar a cabo ataques: los creadores de Stuxnet y los integrantes de la banda de hackers conocida como «Elderwood Gang». Cuatro de las catorce vulnerabilidades de día cero descubiertas en 2010 se advirtieron a raíz de los ataques del gusano Stuxnet. En 2012, volvieron a detectarse otras catorce, cuatro de ellas debido a la actividad de la Elderwood Gang, que también explotó las vulnerabilidades de día cero en los dos años anteriores y ha vuelto a hacerlo por lo menos una vez en 2013. Los atacantes no siempre aprovechan estas vulnerabilidades, sino solo cuando las necesitan y no siempre de la misma manera. Stuxnet y Elderwood, por ejemplo, utilizan estrategias distintas. Según la información de la que disponemos hoy, Stuxnet explotaba varias vulnerabilidades de día cero en un solo ataque (el caso menos habitual) dirigido a una sola víctima. Con este sistema, pretendían lograr su objetivo a la primera.

No es fácil saber quién es el verdadero culpable Hay ataques dirigidos que se realizan sin disimulo alguno. Cuando se detectó en agosto el virus Shamoon, un tipo de malware diseñado para borrar los datos de los discos duros de empresas del sector energético de Oriente Medio, un grupo llamado Cutting Sword of Justice (la afilada espada de la justicia) reivindicó el ataque. A lo largo de 2012, varias entidades financieras fueron víctimas de diversos ataques DDoS cuya autoría reclamó otro grupo: los Izz ad-Din al-Qassam Cyber Fighters. Estos y otros ataques parecen claros ejemplos de hacktivismo, pero aunque alguien los reivindique, no es fácil saber quién está detrás ni qué pretende. Hay quien cree que grupos como Cutting Sword of Justice y los Qassam Cyber Fighters son frentes para constituir un Estado nación (rumores que, supuestamente, circulan también entre los servicios de inteligencia). Asimismo, el FBI ha advertido a las instituciones financieras de que algunos ataques DDos que parecen mero hacktivismo son en realidad tácticas de distracción tras las que se esconde un fraude. Los ciberdelincuentes atacan momentos antes o después de realizar una transacción no autorizada para evitar que se descubra o se le intente poner freno.

La Elderwood Gang utiliza el método opuesto: aprovechar una sola vulnerabilidad de día cero en cada ataque, seguir atacando hasta que se descubre la vulnerabilidad y, a partir de ese momento, comenzar a explotar una vulnerabilidad distinta. Dicho así, cabría pensar que la banda tiene un número ilimitado de vulnerabilidades de día cero que explotar y le basta pasar de una a otra para engarzar sus ataques, pero esperamos que no sea el caso.

pág. 5

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

LA SEGURIDAD EN 2012 MES A MES

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

LA SEGURIDAD EN 2012, MES A MES

1

enero 2012

2

febrero 2012

Robo de datos: La empresa de ropa y calzado Zappos sufre una fuga de datos que supone el robo de 24 millones de identidades. Código dañino: Se descubren varios complementos dañinos de Firefox y Chrome. Botnet: Reaparece la botnet Kelihos, desmantelada cuatro meses antes. Dispositivos móviles: Google anuncia Google Bouncer, un sistema de análisis de aplicaciones para la tienda Google Play. Botnet: Los expertos desarticulan la nueva variante de la botnet Kelihos, pero ese mismo mes aparece una nueva versión. Hacking: Son arrestados seis presuntos miembros del grupo hacktivista LulzSecs.

3

marzo 2012

Botnet: Un grupo de expertos en seguridad desmantela los principales servidores de la botnet Zeus. Robo de datos: Una empresa de procesamiento de pagos, cuyos servicios utilizan Visa, MasterCard y otras marcas de tarjetas de crédito, sufre un ataque que deja al descubierto los datos de millón y medio de cuentas.1 Dispositivos móviles: La banda Opfake pone en marcha una técnica de engaño sin malware dirigida a usuarios de iPhone.

4

abril 2012

5

mayo 2012

pág. 7

Mac: El troyano OSX.Flashback aprovecha una vulnerabilidad de Java para infectar más de 600 000 equipos Mac. Mac: Se detecta un segundo troyano para Mac, OSX.Sabpab, que también aprovecha las vulnerabilidades de Java para infectar equipos informáticos. Redes sociales: Se descubre que hay estafadores que utilizan las redes sociales Tumblr y Pinterest para engañar a los usuarios. Malware: Se detecta la amenaza de ciberespionaje W32.Flamer. Autoridades de certificación: Comodo, una autoridad de certificación de gran tamaño, autentica y emite un certificado de firma de código legítimo para una entidad ficticia gestionada por ciberdelincuentes. El incidente no sale a la luz hasta agosto.

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

LA SEGURIDAD EN 2012, MES A MES

6

junio 2012

Robo de datos: LinkedIn es víctima de un robo de datos que deja al descubierto millones de cuentas. Malware: Se descubre el troyano Trojan.Milicenso, que hace que las impresoras de red impriman documentos largos con caracteres ilegibles. Botnet: Varios expertos en seguridad desmantelan la botnet Grum. Malware: En la App Store de Apple, se descubre malware de Windows incrustado en una aplicación.

7

julio 2012

Mac: Una nueva amenaza para Mac, OSX.Crisis, abre una puerta trasera en los ordenadores infectados. Botnet: El FBI cierra los servidores DNS que protegían los equipos infectados con el troyano DNSChanger. Malware: Se descubre un troyano que lleva dos años utilizándose para robar información al gobierno japonés. Malware: Se detecta la segunda amenaza que provoca la impresión repentina de grandes tiradas ilegibles, W32.Printlove. Hacking: La agencia de noticias Reuters sufre varios ataques consistentes en publicar noticias falsas en su sitio web y en su cuenta de Twitter.

8

agosto 2012

Malware: Se descubre Crisis, un tipo de malware diseñado para atacar imágenes de máquinas virtuales de VMware®. Malware: Se detecta W32.Gauss, una amenaza dirigida a Oriente Medio, al igual que W32.Flamer. Autoridades de certificación: Sale a la luz el incidente en el que Comodo se vio involucrado en mayo y se publican los detalles de lo ocurrido.

pág. 8

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

LA SEGURIDAD EN 2012, MES A MES

Malware: Se descubre una nueva versión del kit de ataque Blackhole (Blackhole 2.0).

9

septiembre 2012

Botnet: Diversos expertos de seguridad logran desarticular la nueva botnet Nitol. Dispositivos móviles: Se descubre una vulnerabilidad en la versión de Samsung de Android™ que permite borrar los datos del teléfono de forma remota. Ataque DDoS: El FBI advierte de que los ataques DDoS contra entidades financieras quizá sean una maniobra de distracción.2

10

octubre 2012

11

noviembre 2012

12

diciembre 2012

pág. 9

Malware: Se descubre un tipo de ransomware (malware diseñado para extorsionar a sus víctimas) que se distribuye a través del sistema de mensajería instantánea de Skype. Robo de datos: Los terminales de pago de Barnes & Noble sufren un ataque a raíz del cual se produce un robo de datos de clientes. Los responsables utilizan un ataque DDoS para desviar la atención de lo que de verdad pretenden: recabar información para robar fondos al banco afectado.

Hacking: Se descubre que un grupo de ladrones utiliza un fallo en una marca de cerraduras de hoteles para entrar a robar en las habitaciones.

Malware: Se detecta el troyano Infostealer.Dexter, que afecta a los sistemas de los puntos de venta. Hacking: Los hackers explotan una vulnerabilidad de Tumblr para difundir spam a través de la red social.

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

2012 EN CIFRAS

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

2012 EN CIFRAS

UN 42 % MÁS

Ataques dirigidos en 2012

604 826 PROMEDIO DE IDENTIDADES AFECTADAS por incidente en 2012

NUEVAS VULNERABILIDADES

6 253 4 989 5 291 2010

2011

2012

VULNERABILIDADES DE DISPOSITIVOS MÓVILES 315

415

163

2010 pág. 11

2011

2012

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

2012 EN CIFRAS ESTIMACIÓN DE SPAM GLOBAL DIARIO (MILES DE MILLONES) PORCENTAJE TOTAL DE SPAM ENVIADO

62 2010

89 %

42 2011

30

75 %

2012

MALWARE CAMUFLADO EN URL DE MENSAJES DE CORREO ELECTRÓNICO

SPAM RELACIONADO CON CITAS O CONTENIDO SEXUAL

3 % 15 % 55 %

2010

2011

2012

69 %

24 % 39 % 23 % 2010

2011

2012

MENSAJES DE CORREO ELECTRÓNICO QUE CONTIENEN UN VIRUS: UNO DE CADA... 2010

282 239

2011 2012

291

MENSAJES DE CORREO ELECTRÓNICO QUE SON INTENTOS DE PHISHING: UNO DE CADA... 2010

442 299

2011 2012

pág. 12

414

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

2012 EN CIFRAS BOTS DE REDES ZOMBI (MILLONES)

4,5

2010 2011 2012

3,1 3,4

NUEVAS VULNERABILIDADES DE DÍA CERO 14

2010

ATAQUES WEB BLOQUEADOS AL DÍA

190 370 2011 247 350 2012

58 %

8

14

2011

2012

NUEVOS DOMINIOS WEB CON CÓDIGO DAÑINO

2010

43 000

2011

55 000 2012

74 000

AUMENTO DE LAS VARIANTES DE MALWARE DIRIGIDAS A DISPOSITIVOS MÓVILES

2011–2012

pág. 13

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

ATAQUES DIRIGIDOS HACKTIVISMO Y FILTRACIONES DE DATOS

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

ATAQUES DIRIGIDOS, HACKTIVISMO Y FILTRACIONES DE DATOS Porcentaje de ataques (según el número de empleados de la empresa afectada) Fuente: Symantec

50 % 2501 o más

50 % Entre 1 y 2500

2501 empleados o más

50 %

9%

Entre 1501 y 2500

2% 3%

Entre 1001 y 1500 Entre 501 y 1000

5%

Entre 251 y 500

Un 13 % más

31 %

Entre 1 y 250

El 18 % en 2011

2012 En 2012, las principales víctimas fueron las empresas con más de 2500 empleados, que padecieron el 50 % de los ataques dirigidos, casi el mismo porcentaje que el año anterior. Aunque el número de ataques que sufrieron fue el doble que en 2011, sigue representando un 50 % del total.

pág. 15

El porcentaje de ataques dirigidos a las pymes (empresas con plantillas de hasta 250 empleados), pasó del 18 % en 2011 al 31 % en 2012, un aumento del 13 %. En términos porcentuales, los ataques a este grupo representan casi el doble del total que el año anterior, pero el número de ataques se triplicó.

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

ATAQUES DIRIGIDOS, HACKTIVISMO Y FILTRACIONES DE DATOS La gran mayoría de las filtraciones de datos (el 88 %) fueron consecuencia de ataques realizados por individuos ajenos a la empresa, pero el personal interno sigue representando un riesgo considerable debido a la pérdida de portátiles o memorias flash, a otros descuidos y al robo intencionado de datos. En el Reino Unido, la Information Commissioner’s Office (ICO) procesó y multó a más empresas por deslices internos que a atacantes externos, lo que viene a ilustrar que la mayoría de las pymes deberían preocuparse tanto por el personal de contabilidad como por los hackers anónimos.

IDENTIDADES AFECTADAS (MILLONES)

MILLONES DE CASOS EN ENERO 35

30

30

25

25

20

20

15

15

10

10

5

5

0 JAN ENE

FEB FEB

MAR MAR

APR ABR

MAY MAY

JUN JUN

JUL JUL

AUG AGO

SEP SEP

OCT OCT

INCIDENTES

NOV NOV

DEC DIC

NÚMERO DE INCIDENTES

31

35

0

TOTAL

Filtraciones de datos a lo largo del año En enero de 2012, un solo incidente supuso el robo de 24 millones de identidades, una cifra récord en todo el año. De febrero a diciembre, el número de identidades robadas fluctuó entre uno y doce millones al mes. En la primera mitad del año, se registró una media de once filtraciones; en la segunda, la cifra se elevó a quince (un aumento del 44 %).

pág. 16

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

ATAQUES DIRIGIDOS, HACKTIVISMO Y FILTRACIONES DE DATOS Coste medio per cápita de una filtración de datos3

Principales causas de las filtraciones de datos en 2012

Fuente: Symantec

Fuente: Symantec 0 10 20

País

Coste medio per cápita

EE. UU.

194 USD

Dinamarca

191 USD

Francia

159 USD

Australia

145 USD

Japón

132 USD

Ucrania

124 USD

Italia

102 USD

Indonesia

42 USD

40

50

40 % Hackers

23 % 23 %

Divulgación accidental

Robo o pérdida de un ordenador o unidad % Apropiación por parte del personal interno

8 6% 1%

Estados Unidos tiene el coste per cápita más elevado (194 USD), seguido muy de cerca por Dinamarca.

Análisis

Guerra digital, cibersabotaje y espionaje industrial Los ataques dirigidos se han consolidado y ya están entre los peligros que más preocupan a los directores de seguridad informática y a los responsables de TI. Hoy en día, hay casos en los que se utilizan para infiltrarse en un sistema informático o una red y acceder a información confidencial con fines de espionaje industrial. No se dan con frecuencia, pero son dificilísimos de combatir —en ocasiones, más que ningún otro tipo de ataque—. Es difícil atribuir un ataque a un grupo específico o a un gobierno sin tener pruebas suficientes. A veces, el móvil y los recursos del atacante hacen sospechar que cuenta con el apoyo de un estado, pero ¿cómo demostrarlo de forma concluyente? Los medios de comunicación suelen hacerse eco de ataques que podrían estar auspiciados por el Estado. Esto no quiere decir que sean frecuentes en comparación con otros cibercrímenes, pero sí es cierto que suelen ser muy dañinos y de gran complejidad. No cabe duda de que los gobiernos cada vez dedican más recursos a las estrategias digitales de defensa y ataque.

pág. 17

30

Desconocida

Fraude

Los hackers siguen siendo los causantes de un mayor número de filtraciones de datos (un 40 % del total). En 2012, el riesgo de filtraciones seguía siendo pequeño para la mayoría de las empresas. Lo que aumentó fue el espionaje industrial mediante ataques dirigidos y su incidencia en las pymes, que tienen menos recursos para combatirlo. Además, los atacantes pueden servirse de empresas más pequeñas (por ejemplo, proveedores) para atacar a otras más grandes. Algunos tipos de malware, como Stuxnet en 2010, Duqu en 2011 y Flamer y Disttrack en 2012, son más complejos y peligrosos que sus predecesores. Por ejemplo, el utilizado en los ataques Shamoon dirigidos a una petrolera saudí borraba datos alojados en discos duros.4 Las técnicas que utilizan los ciberdelincuentes para el espionaje industrial sirven también a los estados y a quienes actúan en su nombre para orquestar ciberataques o campañas de espionaje político. Los ataques más complejos pueden copiarse o someterse a técnicas de ingeniería inversa para atacar a otras víctimas de forma más indiscriminada. Además, el malware de cibersabotaje dirigido a un objetivo específico puede acabar propagándose e infectar otros ordenadores, con los consiguientes daños colaterales.

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

ATAQUES DIRIGIDOS, HACKTIVISMO Y FILTRACIONES DE DATOS Los ataques dirigidos a lo largo del año5 Fuente: Symantec

GhostNet

Stuxnet

Ataques Nitro

Flamer y Gauss

• Marzo de 2009 • Operación de ciberespionaje a gran escala

• Junio de 2010

• Julio a octubre de 2011 • Dirigidos a la industria química

• Mayo a agosto de 2012 • Amenazas avanzadas • Dirigidas a Oriente Medio

2009 Hydraq • Enero de 2010 • Operación Aurora

2010

2011

Ataques dirigidos a RSA

Ataques Sykipot y Taidoor

• Agosto de 2011

• Dirigidos a gobiernos y al sector de Defensa

Amenazas avanzadas persistentes (APT) y ataques dirigidos Los ataques dirigidos combinan el malware y la ingeniería social para atacar a individuos de determinadas empresas y robarles información confidencial, como secretos comerciales o datos de clientes. Unas veces utilizan malware escrito para la ocasión, mientras que otras aprovechan las vulnerabilidades de día cero, lo que dificulta su detección y aumenta su potencial infeccioso. Los ataques dirigidos se distribuyen a través de diversos mecanismos, como mensajes de correo electrónico que contienen malware o descargas que se instalan en el equipo del usuario sin su consentimiento cuando visita un sitio web infectado que suele frecuentar (lo que se conoce como un ataque watering hole o de abrevadero). Con frecuencia, las amenazas avanzadas persistentes (APT, por sus siglas en inglés) son aún más dañinas que los ataques tradicionales y utilizan técnicas de intrusión personalizadas muy complejas. Mientras que los ataques dirigidos se están generalizando, las campañas de amenazas persistentes exigen más recursos, por lo que sus autores son siempre grupos que cuentan con un buen respaldo económico y se centran en objetivos de gran importancia.

pág. 18

2012 Proyecto Elderwood • Septiembre de 2012 • Objetivo principal: defensa; obra del mismo grupo que usó Hydraq (Aurora) en 2010

Según lo observado por Symantec, los ataques dirigidos a objetivos específicos aumentaron en un 42 % en 2012, en comparación con el año anterior. Los blancos son la industria manufacturera (la principal víctima, que sufrió un 24 % de los ataques), las grandes empresas y, cada vez más, las pymes. En 2011, las empresas con menos de 250 empleados fueron víctimas del 18 % de estos ataques, pero a finales de 2012 el porcentaje era ya del 31 %.

Ingeniería social y ataques indirectos Las pequeñas empresas están en el punto de mira de los atacantes porque son más vulnerables que otros eslabones de la cadena de suministro, tienen acceso a propiedad intelectual importante y son una puerta de entrada a empresas más grandes. De todos modos, también son un objetivo apetecible por su propia naturaleza, pues superan en número a las grandes, suelen estar más desprotegidas y también tienen datos de valor. Por ejemplo, un atacante podría infiltrarse en un pequeño proveedor para tratar de acceder a otra empresa de mayor tamaño. Una forma de hacerlo sería robar información de carácter personal, mensajes de correo electrónico y archivos a alguien que trabaje en la empresa más pequeña para redactar un mensaje personalizado dirigido a un empleado de la empresa a la que quiere atacar.

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

ATAQUES DIRIGIDOS, HACKTIVISMO Y FILTRACIONES DE DATOS Inyección de código en sitios web para lanzar ataques watering hole6 Fuente: Symantec

1. Perfil El atacante elabora un perfil de las víctimas y del tipo de sitios web que visitan.

2. Comprobación El atacante examina los sitios web para comprobar si presentan vulnerabilidades.

3. Introducción de código dañino Cuando encuentra un sitio web susceptible de ataque, «inyecta» código JavaScript o HTML. Dicho código redirige a la víctima a un sitio web distinto que contiene el código necesario para explotar la vulnerabilidad elegida.

4. Espera El sitio web afectado permanece a la espera de la víctima previamente elegida —como lo haría un león en un abrevadero— para infectarla mediante un ataque watering hole.

pág. 19

En 2012, los ataques a los empleados de I+D y ventas aumentaron notablemente con respecto al año anterior. Cabe concluir, por tanto, que los atacantes están ampliando su radio de acción e intentan acceder a las empresas a través del personal no directivo. El aumento en el número de ataques ha afectado sobre todo a estos dos grupos, pero otros (como el personal administrativo) también corren un riesgo elevado. Para los ataques dirigidos, los responsables siguen utilizando técnicas de ingeniería social. Por ejemplo, se dirigen a funcionarios por correo electrónico haciéndose pasar por personal de la UE o de organismos de seguridad estadounidenses, o utilizan en beneficio propio noticias sobre los planes de compra de organismos públicos como las Fuerzas Aéreas de EE. UU. Estas técnicas son fruto de investigaciones exhaustivas, demuestran un gran conocimiento de la psicología de los destinatarios y aumentan la probabilidad de que las víctimas abran un archivo adjunto que contiene malware.

Ataques watering hole Últimamente, ha surgido un nuevo tipo de ataque dirigido: los ataques watering hole o de abrevadero, que consisten en infectar un sitio web legítimo frecuentado por la víctima para instalar malware en su equipo cuando lo visite. Por ejemplo, en 2012 detectamos en el sitio web de una organización de defensa de los derechos humanos una línea de código que formaba parte de un script de seguimiento7. Su objetivo era aprovechar una nueva vulnerabilidad de día cero de Internet Explorer® para infectar los ordenadores de los visitantes. Según nuestros datos, en 24 horas, el sitio web recibió visitas procedentes de 500 grandes empresas y organismos públicos que corrieron el riesgo de infectarse. Los artífices del ataque, conocidos como Elderwood Gang, emplearon herramientas complejas y aprovecharon vulnerabilidades de día cero, lo que hace pensar que se trata de una banda con muchos recursos y apoyada por una red de delincuentes de gran tamaño o un Estado nación.8

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

Para evitar estos peligros, recomendamos lo siguiente: Dé por sentado que corre peligro Todas las empresas pueden sufrir un ataque avanzado, incluidas las pequeñas y las relativamente anónimas. Los ataques dirigidos no hacen distinciones de tamaño a la hora de buscar víctimas. Además, su sitio web podría utilizarse para atacar a terceros. Si se mentaliza del peligro que corre y mejora sus mecanismos de defensa frente a las amenazas más graves, su empresa estará más protegida en general.

Adopte estrategias de defensa en profundidad Confíe en varios sistemas de defensa superpuestos y que colaboren entre sí para protegerse de los fallos aislados que pudieran producirse en cualquier tecnología específica o método de protección. Entre estas medidas deberían incluirse firewalls con actualizaciones frecuentes, sistemas de detección de virus en pasarelas, sistemas de detección de intrusiones y protección contra intrusiones, y pasarelas de seguridad web en toda

pág. 20

la red. Plantéese adoptar el sistema Always-On SSL (con el que se utiliza el protocolo HTTPS desde que el usuario inicia sesión hasta que la cierra) para cifrar los datos que se transmiten en los sitios web. Si desea lograr un nivel de protección adecuado, no basta con instalar en los puntos finales programas antivirus basados en firmas.

Conciencie a sus empleados Informe a sus empleados del peligro que supone la ingeniería social y de los métodos para combatirla, deles la formación adecuada y adopte procedimientos destinados a reducir la pérdida accidental de datos y otros riesgos internos. Es vital que todos sean conscientes del valor de los datos y que sepan cómo protegerlos.

Prevención de la pérdida de datos Instale software de protección en la red para evitar la pérdida de datos y las filtraciones. Cifre los datos transmitidos a través de Internet o mediante sistemas de almacenamiento extraíbles.

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

VULNERABILIDADES ATAQUES Y KITS DE HERRAMIENTAS

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

VULNERABILIDADES, ATAQUES Y KITS DE HERRAMIENTAS Introducción Según estudios recientes realizados por el Ponemon Institute, en 2012 hubo un 42 % más de ataques cibernéticos, lo que hizo que las pérdidas económicas relacionadas aumentaran en un 6 %. Para las empresas, estas cifras se traducen en un preocupante coste medio de 591 780 dólares estadounidenses.9 Y es que los cibercriminales cada vez tienen más vulnerabilidades que explotar y con las que lucrarse. Aunque pocos reúnen las competencias necesarias para detectar vulnerabilidades, buscar maneras de aprovecharlas y llevar a cabo los ataques, esto no es impedimento para quienes quieren hacerlo, ya que existe un boyante mercado negro de kits de herramientas que les da el trabajo hecho. Los hackers se ocupan de encontrar, explotar o vender vulnerabilidades; los creadores de kits de herramientas escriben o compran el código necesario y lo incorporan a sus «productos»; por último, los cibercriminales compran o roban las versiones de los kits más recientes para lanzar ataques masivos sin siquiera aprender las técnicas necesarias para hacerlo.

Panorama general en 2012 • Se explotaron más vulnerabilidades de día cero que el año anterior (catorce en lugar de ocho). • Al arrimo de la industria del cibercrimen, que mueve miles de millones de dólares, ha surgido un mercado negro cada vez más complejo. • Si una vulnerabilidad se ha hecho pública (y, en ciertos casos, antes), lo más probable es que haya un kit de ataque a la venta para aprovecharla. • Las infecciones provocadas por descargas no autorizadas al visitar un sitio web aumentaron en un tercio. Posiblemente, muchos de estos ataques estén relacionados con la publicidad dañina (malvertising). • El malware Flashback infectó unos 600 000 equipos Mac. • El kit de herramientas Sakura, cuyo efecto fue mínimo en 2011, se utilizó para un 22 % de los ataques realizados con kits de herramientas. En algunos meses, su uso llegó a superar al del kit Blackhole.

Datos

Porcentaje de vulnerabilidades en distintos navegadores (2010-2012)

Porcentaje de vulnerabilidades en distintos tipos de complementos (2010-2012)

Fuente: Symantec

Fuente: Symantec

Apple Safari Google Chrome Mozilla Firefox Microsoft Internet Explorer Opera

50 % 45 40

30

30

25

25

20

20

15

15

10

10

5

5

pág. 22

2012

Adobe Acrobat Reader Apple QuickTime

40 35

2011

Oracle Sun Java

45

35

2010

Adobe Flash Player

50 %

2010

2011

2012

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

VULNERABILIDADES, ATAQUES Y KITS DE HERRAMIENTAS N.º total de vulnerabilidades Fuente: Symantec

600

544

527

517

500 400

422

350

300

292

200 100 0 ENE

FEB

MAR

ABR

MAY

JUN

JUL

AGO

SEP

OCT

NOV

DIC

• En 2012, se hicieron públicas 5291 vulnerabilidades, frente a las 4989 de 2011. • A lo largo del año, la cifra de vulnerabilidades conocidas osciló entre las 300 y 500 mensuales. • En 2012, el software SCADA (Supervisory Control And Data Acquisition) se vio afectado por 85 vulnerabilidades conocidas, un número mucho más bajo que el registrado el año anterior (129). • En 2011, se detectaron 315 vulnerabilidades relacionadas con los dispositivos móviles. En 2012, la cifra ascendió a 415.

Vulnerabilidades de día cero Fuente: Symantec • Las vulnerabilidades de día cero son aquellas que los atacantes logran aprovechar antes de que se detecten y se haga pública una solución. • En 2012, se notificaron catorce vulnerabilidades de día cero (hasta tres al mes).

3

2

1

ENE

pág. 23

FEB

MAR

ABR

MAY

JUN

JUL

AGO

SEP

OCT

NOV

DIC

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

VULNERABILIDADES, ATAQUES Y KITS DE HERRAMIENTAS Análisis

Aumento del número de ataques basados en Web Los ataques basados en Web —que infectan a la víctima cuando visita un sitio web legítimo pero con código dañino— han aumentado casi en un tercio. La empresa o el consumidor afectados no se dan cuenta de lo ocurrido porque ni ellos ni el propietario del sitio web sospechan que, previamente, alguien ha instalado un kit de herramientas de ataque que contiene la carga útil del malware. Una empresa que utilice solamente programas antivirus basados en firmas estará desprotegida frente a este tipo de ataques, ya que la carga útil que se inocula mediante los kits de herramientas basados en Web suele generarse de forma dinámica o mutar mediante técnicas de polimorfismo en el servidor. El malware, que se instala a través de código JavaScript™ oculto o de unas cuantas líneas de código que redirigen al usuario a otro sitio web, resulta muy difícil de detectar. Una vez instalado, analiza el sistema de todos los visitantes hasta encontrar una vulnerabilidad en el navegador o el sistema operativo que le permita instalar malware en el equipo de la víctima. Muchas empresas y consumidores sucumben a este tipo de ataques porque no tienen instaladas en sus equipos las revisiones más recientes de complementos del navegador como Adobe Flash Player®, Acrobat Reader® y la plataforma Java de Oracle. Los consumidores suelen olvidarse de instalarlas, pero en las empresas más grandes, el problema suele ser otro. Muchos sistemas clave dependen de versiones antiguas, lo que complica la gestión de las revisiones, ralentiza las actualizaciones y, en definitiva, aumenta el riesgo de ataques basados en Web. Conviene destacar que el número de vulnerabilidades no se corresponde con el nivel de riesgo. Una sola vulnerabilidad en una aplicación basta para poner en grave peligro a una empresa si alguien logra aprovecharla. En 2013, Symantec seguirá profundizando en el uso de kits de ataque basados en Web para explotar vulnerabilidades.

pág. 24

Un dato importante es que el éxito de los ataques basados en Web no tiene que ver con las vulnerabilidades de día cero más recientes. El número de ataques que tienen su origen en sitios web infectados ha aumentado en un 30 %, mientras que solo se detecta un 6 % más de vulnerabilidades. En la mayoría de los casos, los ataques se deben a que no se han aplicado las revisiones necesarias para solucionar vulnerabilidades conocidas desde hace tiempo.

La explotación de vulnerabilidades, una carrera armamentística En 2012, aumentaron las vulnerabilidades de día cero. Catorce de las utilizadas por primera vez como vía de ataque pasaron inadvertidas (algo que en 2011 ocurrió solo en ocho ocasiones). 5291 se detectaron e hicieron públicas (un ligero aumento con respecto a 2011, cuando hubo 4989 casos de este tipo). Además, se contabilizaron más vulnerabilidades en los dispositivos móviles: 415, frente a las 315 detectadas en 2011. Los grupos organizados, como el responsable de los ataques del proyecto Elderwood, tratan continuamente de descubrir posibles fallos en los navegadores web, sus complementos y otros programas de uso cotidiano. En cuanto una vulnerabilidad se hace pública, enseguida encuentran otra que aprovechar, lo que demuestra su avanzado modus operandi. Los cibercriminales y los desarrolladores de software se hallan inmersos en una carrera armamentística. A los primeros les cuesta mucho menos detectar nuevas vulnerabilidades y explotarlas que a los segundos subsanarlas. Algunos proveedores de software solo publican revisiones trimestralmente, y otros son lentos a la hora de reconocer sus vulnerabilidades. Tampoco faltan los que sacan actualizaciones a tiempo, pero las empresas suelen tardar en implementarlas. Las vulnerabilidades de día cero constituyen una grave amenaza para la seguridad, pero las conocidas también son peligrosas si no se les presta atención. Por mucho que existan revisiones para corregirlas, de nada sirven si las empresas y los consumidores no las aplican a tiempo, lo cual sucede con frecuencia. Los kits de herramientas permiten a los delincuentes analizar millones de PC para ver en cuáles no se han corregido las vulnerabilidades más conocidas y centrar en ellos los ataques. De hecho, las vulnerabilidades que más se aprovechan no son las más recientes.

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

VULNERABILIDADES, ATAQUES Y KITS DE HERRAMIENTAS Publicidad dañina y hacking de sitios web ¿Qué hace un hacker para añadir código a un sitio web legítimo? Muchas veces, basta con usar un kit de herramientas. Uno de ellos, LizaMoon, llegó a infectar al menos un millón de sitios web en mayo de 2012 mediante ataques de inyección SQL.10 Otras técnicas consisten en: • explotar una vulnerabilidad conocida en el sistema de alojamiento o en el software de gestión de contenidos del sitio web; • conseguir la contraseña del administrador web mediante diversas técnicas, como el phishing, el spyware (software espía) o la ingeniería social; • infiltrarse en la infraestructura interna del servidor web (p. ej., en los paneles de control o en las bases de datos); • publicar en el sitio web un anuncio de pago que contenga código dañino.

Publicidad en Internet de un kit de herramientas de malware

Este último método, conocido como malvertising (publicidad dañina), es una forma de ataque muy frecuente que pone en peligro a sitios web legítimos sin necesidad de infectarlos. Según el software de análisis experimental utilizado por Symantec, este problema afecta a la mitad de los sitios web analizados. Por medio de la publicidad dañina, los hackers convierten los sitios web en vectores de ataque sin tener que modificarlos. Los visitantes se infectan sin darse cuenta, ya que el malware suele crearse de forma dinámica y los antivirus por sí solos no son capaces de detectarlo. La gravedad del problema ha llevado a Google y a otros motores de búsqueda a utilizar técnicas de detección de malware y a incluir en una lista negra los sitios web infectados. Algunos conocidos medios de comunicación online se han visto afectados por casos de publicidad dañina en redes publicitarias destacadas.11 Estos incidentes les restan credibilidad ante sus lectores y son un duro golpe para aquellos sitios web que dependen en gran medida de los ingresos publicitarios. Localizar la publicidad dañina y evitar su aparición no es tarea fácil, ya que hay muchas redes publicitarias distintas y los anuncios que se muestran cambian constantemente.

pág. 25

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

VULNERABILIDADES, ATAQUES Y KITS DE HERRAMIENTAS Kits de herramientas de ataque web

Porcentaje de ataques correspondientes a los distintos kits de ataque web Fuente: Symantec

Descubrir vulnerabilidades es una cosa; explotarlas, otra distinta, pues no todo el mundo sabe cómo hacerlo. Por eso hay quienes, dispuestos a hacer negocio, comercializan kits de herramientas dirigidos a los delincuentes menos avezados técnicamente. Se trata de productos que, al igual que el software comercial, incluso tienen garantía y dan derecho a asistencia. Sus creadores utilizan cuentas anónimas y cobran mediante servicios de pago por Internet.

10 % Phoenix Sakura

22 %

Los kits de herramientas de ataque sirven para crear distintos tipos de malware y para atacar sitios web. Los autores de algunos de ellos, como el conocido kit Blackhole, incluso sacan distintas versiones, tal y como haría un desarrollador de software legítimo que publicara nuevas ediciones o actualizaciones. Esto hace pensar que también ellos tienen una «clientela» fiel.

7 % Redkit

Otros

Blackhole

20 %

41 %

En 2012, la versión original de Blackhole siguió azotando Internet y causó el 41 % de los ataques basados en Web. En septiembre, empezó a comercializarse una versión actualizada, Blackhole 2.0. Durante varios meses de la segunda mitad del año, la supremacía de Blackhole se vio amenazada por la aparición de un nuevo rival: el kit Sakura, que por momentos llegó a copar el 60 % de la actividad relacionada con los kits de herramientas, aunque solo el 22 % del total anual.

En 2012, Blackhole provocó alrededor del 41 % de los ataques realizados con kits de herramientas basados en Web (frente al 44 % de 2011). Sakura, que ni siquiera figuraba entre los diez kits de ataque más usados en 2011, fue el causante de otro 22 % aproximadamente y, en determinadas épocas del año, incluso se situó por delante de Blackhole en cuanto al número de ataques.

Evolución de los kits de herramientas de ataque web Fuente: Symantec

Otros

90 % 80

Blackhole

70 60

Sakura

50

Nuclear

40 30

Redkit

20 10

Phoenix ENE

pág. 26

FEB

MAR

ABR

MAY

JUN

JUL

AGO

SEP

OCT

NOV

DIC

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

VULNERABILIDADES, ATAQUES Y KITS DE HERRAMIENTAS Evaluación de vulnerabilidad de sitios web y análisis contra software malicioso En 2012, estos dos servicios de Symantec Website Security Solutions (anteriormente, VeriSign) se utilizaron para analizar más de millón y medio de sitios web. Se analizaron más de 130 000 direcciones URL a diario y se encontró malware en uno de cada 532 sitios web. Las descargas no autorizadas fueron la forma de ataque más habitual. Asimismo, se realizaron más de 1400 análisis de vulnerabilidad al día para detectar las deficiencias de seguridad que suponían un riesgo elevado. De los sitios web analizados, aproximadamente un 53 % presentaba vulnerabilidades sin resolver que alguien podría aprovechar si se lo propusiera, un 24 % de ellas de carácter grave. En 2011, los porcentajes eran del 36 y el 25 % respectivamente. En cuanto a las vulnerabilidades detectadas, en 2012 predominaron las que aumentan la probabilidad de sufrir un ataque de secuencias de comandos entre sitios.

Las conexiones seguras, cada vez más habituales Cuando se inicia una conexión SSL segura, siempre se comprueba si el certificado se ha revocado o no. Hay dos maneras de hacerlo: hacer una búsqueda en el protocolo de estado de certificados en línea (OCSP) o consultar la lista de revocación de certificados (CRL). Si analizamos las estadísticas relativas a ambos procedimientos a lo largo del tiempo y nos fijamos en el número de búsquedas que procesan nuestros sistemas en la actualidad, se observa que ha aumentado el número de sesiones SSL seguras en Internet. Hay varias causas posibles. En primer lugar, que cada vez más internautas utilizan conexiones seguras (lo cual puede deberse, por ejemplo, al aumento de las compras por Internet). En segundo lugar, que ahora la tecnología SSL se utiliza en más lugares y para un abanico de aplicaciones más amplio. Por ejemplo, se ha generalizado el uso de certificados SSL con Extended Validation —que colorean de verde la barra de direcciones del navegador para indicar que un sitio web está protegido— y de la tecnología «Always-On SSL» —que en 2012 experimentó un fuerte ascenso en las redes sociales, en los sistemas de correo electrónico online y en los servicios de

pág. 27

búsqueda—. Otro factor podría ser la variedad de dispositivos con los que se accede a Internet. Los usuarios ya no navegan únicamente desde su ordenador de sobremesa o portátil, sino que también utilizan smartphones y tablets. En 2012, Symantec observó un aumento interanual del 31 % en la media de búsquedas en el protocolo de estado de certificados en línea (el método más moderno para comprobar si un certificado se ha revocado o no). Se registró un promedio de 4800 millones de búsquedas diarias y, en el día de máxima actividad, se alcanzaron los 5800 millones. Las búsquedas realizadas por Symantec en la lista de revocación de certificados (el método de comprobación más antiguo, al que sustituye el protocolo OCSP) experimentaron un aumento interanual del 45 %. Se hicieron unos 1400 millones al día, con un valor máximo de 2100.

El sello Norton Secured y los distintivos de confianza En 2012, aumentó el número de consumidores que visitan sitios web con distintivos de confianza como el sello Norton Secured. Las estadísticas referentes a los distintivos de confianza de Symantec muestran un incremento del 8 % con respecto al año anterior. En un momento en que los consumidores empezaban a exigir más seguridad a la hora de navegar o realizar operaciones electrónicas, el sello Norton Secured se visualizó hasta 750 millones de veces al día.

Robo de certificados de firma de código En 2012, las empresas de todos los tamaños volvieron a ser cómplices involuntarias de las redes globales de distribución de malware, pues el uso de malware con certificados de firma de código legítimos es cada vez más habitual. Al estar firmado, el código dañino no resulta sospechoso, lo que facilita su distribución. Es frecuente que los desarrolladores de malware utilicen claves privadas de firma de código robadas, que obtienen al infiltrarse en las redes de las autoridades de certificación. A veces también logran adquirir certificados con identidades falsas, sobre todo si las prácticas de seguridad de la autoridad encargada de

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

RECOMENDACIONES emitirlos distan de ser perfectas. Por ejemplo, en mayo de 2012 Comodo (una autoridad de certificación de gran tamaño) autenticó y emitió un certificado de firma de código legítimo para una entidad ficticia gestionada por cibercriminales.12

Protéjase con distintas tecnologías Si las amenazas no hubieran avanzado tanto, la tecnología de análisis de archivos (lo que conocemos como «antivirus») bastaría para evitar las infecciones. Pero los antivirus no sirven para plantar cara al malware que se crea a petición con un kit de herramientas, al malware polimórfico y a los ataques de día cero. La única forma eficaz de evitar un ataque es instalar en los puntos finales protección basada en red y tecnología de análisis de reputación. En ocasiones, el malware sortea estas barreras y logra infiltrarse de todas formas, así que también hay que analizar los archivos de forma periódica y utilizar sistemas de bloqueo de comportamiento.

Proteja los sitios web a los que acceden sus clientes Si quiere proteger las transmisiones de datos en todo el sitio web y ofrecer más seguridad a los visitantes, plantéese adoptar el sistema Always-On SSL: así ya no solo cifrará los datos en las páginas de pago o en aquellas donde los clientes facilitan sus datos para darse de alta. Mantenga actualizados el sistema de gestión de contenidos y el software del servidor web, tal y como haría con un PC cliente. En todos sus sitios web, haga evaluaciones de vulnerabilidad y análisis contra software malicioso para detectar los problemas cuanto antes. Elija contraseñas seguras que protejan las cuentas de administrador y otros servicios frente a la ingeniería social y el phishing. Permita el acceso a los servidores web importantes únicamente a quienes lo necesiten. El sistema Always-On SSL protege los datos de las cuentas de los usuarios que se conectan desde conexiones sin cifrar, lo que reduce el riesgo de ataques de interposición man-in-the-middle.

Proteja los certificados de firma de código Para que las claves estén bien protegidas, los propietarios de los certificados deben contar con políticas de seguridad y mecanismos de protección muy rigurosos. En concreto, se necesita lo siguiente:

pág. 28

una seguridad física eficaz, módulos de seguridad de hardware (HSM) de cifrado, mecanismos de protección de la red y los puntos finales, sistemas que impidan la pérdida de datos en los servidores con los que se firma el código y medidas que garanticen la protección de las aplicaciones de firma de código. Además, las autoridades de certificación tienen que seguir a rajatabla las prácticas recomendadas para los distintos pasos del proceso de autenticación.

Evalúe sus procesos de actualización de software y aplicación de revisiones para evitar hasta el más mínimo descuido La mayoría de los ataques basados en Web aprovechan las veinte vulnerabilidades más comunes. Si instalamos las revisiones que resuelven las vulnerabilidades conocidas, evitaremos los ataques más habituales; por eso es tan importante actualizar el software y aplicar las revisiones con rapidez. Con muchos programas, es importante tener siempre la última versión instalada (o prescindir de ellos por completo). El caso de los ataques Flashback, que aprovechaban una vulnerabilidad de Java, ilustra los riesgos de no hacerlo. Todos deberíamos seguir estas normas: los directores informáticos que administran miles de usuarios, los propietarios de pequeñas empresas con decenas de usuarios y los particulares en sus casas. Cuando los navegadores, las aplicaciones y los complementos para navegador se vuelvan anticuados e inseguros, aplique actualizaciones y revisiones con las herramientas de actualización automática de los proveedores para contar con las últimas versiones disponibles y detener a quienes intentan explotar las vulnerabilidades más conocidas. La mayoría de los fabricantes de software se esfuerzan por solventar aquellas vulnerabilidades que han facilitado ataques, pero las revisiones solo son eficaces si se aplican a las herramientas en uso. Procure no utilizar imágenes corporativas estándar que contengan versiones anticuadas e inseguras de navegadores, aplicaciones y complementos para navegador. Si un empleado no necesita determinados complementos para la visualización de imágenes, elimínelos para evitar los riesgos que suponen. Siempre que sea posible, automatice la aplicación de revisiones para evitar las vulnerabilidades en toda la empresa.

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

LAS REDES SOCIALES LOS DISPOSITIVOS MÓVILES Y LA NUBE

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

LAS REDES SOCIALES, LOS DISPOSITIVOS MÓVILES Y LA NUBE El spam y el phishing se trasladan a las redes sociales En los últimos años, los casos de spam (correo no deseado) y phishing en las redes sociales han aumentado de forma considerable. Los delincuentes, atraídos por el nivel de tráfico de Facebook y Twitter, actúan cada vez más en estas redes, y en 2012 empezaron a frecuentar otros sitios web más nuevos que están creciendo con rapidez, como Instagram, Pinterest y Tumblr. Allí tientan a los usuarios con vales-regalo falsos o encuestas tras las que se oculta una estafa. Las ofertas falsas son el método elegido para más de la mitad (el 56 %) de los ataques realizados en las redes sociales. Por ejemplo, la víctima de una estafa de este tipo podría ver en un muro de Facebook o en Pinterest (donde los usuarios ven los «pines» de las personas a las que siguen o navegan por categorías) un mensaje que diga: «Haz clic aquí para conseguir un vale de 100 dólares». Al hacer clic en el enlace, se abriría un sitio web donde tendría que facilitar sus datos personales para poder beneficiarse de distintas ofertas. Los vales, por supuesto, son falsos, pero los emisores de spam ganan dinero cada vez que alguien se inscribe en una oferta.

Sitio web falso con una encuesta ficticia

Estafa habitual en una red social

A veces, se utilizan sitios web falsos para obtener los datos personales o contraseñas de las víctimas (p. ej., los datos de su cuenta de Facebook o Twitter). Muchos de estos casos de phishing aprovechan la fascinación que sienten muchas personas por los deportistas, actores o cantantes famosos. Últimamente, se está difundiendo el uso de los famosos de un país en concreto como señuelo. En 2012, las amenazas han ido adentrándose cada vez más en las redes sociales y en los nuevos canales y plataformas, sobre todo aquellos a los que se accede desde aplicaciones móviles. Es probable que estos canales sociales accesibles desde dispositivos móviles sufran aún más ataques en 2013. E imaginamos que los dirigidos a adolescentes y adultos jóvenes serán un blanco especialmente atractivo, ya que este grupo demográfico no siempre sabe reconocer los ataques y, además, es menos celoso de su intimidad a la hora de facilitar datos personales.

pág. 30

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

RECOMENDACIONES Los peligros que acechan en las redes sociales también conciernen a las empresas Muchas empresas no quieren prohibir el uso de las redes sociales a sus empleados. En ese caso, es fundamental protegerse del malware que a veces contienen estos y otros sitios web, lo cual exige diversas medidas. En primer lugar, tendrán que instalar software de seguridad de varias capas en toda la red y en los equipos cliente. En segundo lugar, deberán adoptar procesos de actualización y aplicación de revisiones rigurosos, para reducir así el riesgo de infección que suponen las descargas no autorizadas. Por último, tendrán que concienciar a los empleados del peligro que corren y definir normas claras que regulen, entre otras cosas, la cantidad de información personal que comparten en Internet.

pág. 31

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

EL MALWARE EL SPAM Y EL PHISHING

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

EL MALWARE, EL SPAM Y EL PHISHING El malware y la ingeniería social siguen siendo problemas crónicos y muy extendidos. Los ataques no son nada nuevo, pero evolucionan constantemente y, en ciertos casos, causan graves daños a las empresas y consumidores que los sufren, además de minar la confianza en Internet. Pese a su carácter crónico, estas amenazas no suelen ser noticia porque se consideran algo cotidiano, lo cual no significa que no sean importantes. Es algo similar a lo que sucede con los accidentes de coche y avión. Mientras que un avión que se estrelle siempre saldrá en las noticias, no solemos enterarnos de cuánta gente muere a diario en las carreteras aunque la cifra anual de víctimas sea mucho más alta.13 Este fenómeno también afecta al llamado ransomware, un tipo de malware que impide a las víctimas usar el ordenador a menos que paguen un «rescate». Se trata de ataques complejos e implacables cuya repercusión es nefasta, ya que siembran la desconfianza y resolverlos tiene un coste elevado.

Las cifras dan idea de las dimensiones del problema. Por ejemplo, el malware Reveton (o Trojan.Ransomlock.G) intentó infectar 500 000 equipos en 18 días. Según una encuesta reciente de Symantec en la que participaron 13 000 adultos de 24 países, cada caso de cibercrimen tiene un coste medio de 197 dólares estadounidenses.14 Se calcula que, en los últimos doce meses, 556 millones de adultos fueron víctimas de algún incidente de este tipo. Panorama general • El ransomware se caracteriza por un mayor ensañamiento que otras formas de malware y es más lucrativo para los atacantes. • El spam está trasladándose a las redes sociales. En 2012, el enviado por correo electrónico descendió un 29 %, una tendencia ya observada en años anteriores. • El phishing se está volviendo más complejo y busca nuevas víctimas en las redes sociales.

El ransomware irreversible impide a los afectados usar el ordenador a menos que paguen un «rescate». En la mayoría de los casos, hacer el pago no sirve de nada.

pág. 33

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

EL MALWARE, EL SPAM Y EL PHISHING Malware En 2012, uno de cada 291 mensajes de correo electrónico contenía un virus, una proporción algo más baja que la del año anterior (uno de cada 239). De los mensajes afectados, el 23 % incluía un enlace a un sitio web dañino, un porcentaje también inferior al 39 % de 2011. Que el número de mensajes con virus haya disminuido (al igual que los casos de spam y phishing) no quiere decir que los atacantes hayan bajado las armas. Posiblemente solo hayan cambiado de táctica y operen con más frecuencia en las redes sociales y en otros sitios web.

Países más afectados por el malware País

1 de cada

Países Bajos

1 de cada 108

Luxemburgo

1 de cada 144

Reino Unido

1 de cada 163

Sudáfrica

1 de cada 178

Alemania

1 de cada 196

Incidencia del malware según el tamaño de la empresa

Sectores más afectados por el malware

N.º de empleados

1 de cada

1-250

1 de cada 299

251-500

1 de cada 325

Sector

1 de cada

501-1000

1 de cada 314

Sector público

1 de cada 72

1001-1500

1 de cada 295

Educación

1 de cada 163

1501-2500

1 de cada 252

Finanzas

1 de cada 218

Más de 2501

1 de cada 252

Marketing/medios de comunicación

1 de cada 235

Hostelería y catering

1 de cada 236

Proporción de mensajes con virus en 2012 y 2011 Fuente: Symantec • En 2012, uno de cada 291 mensajes de correo electrónico contenía un virus.

1 de cada 50 1 de cada 100

• En 2011, la proporción era mayor: uno de cada 239.

1 de cada 150 1 de cada 200 1 de cada 250 1 de cada 300 1 de cada 350 1 de cada 400 ENE

FEB

MAR

ABR

MAY

JUN

JUL

AGO

SEP

OCT

2011

pág. 34

NOV

DIC

2012

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

EL MALWARE, EL SPAM Y EL PHISHING Porcentaje de mensajes de correo electrónico con malware camuflado en direcciones URL en 2012 y 2011 Fuente: Symantec • En 2012, se enviaron muchos menos mensajes de correo electrónico con enlaces web dañinos. Las cifras de algunos meses no llegan ni a la mitad de las que se registraron en las mismas fechas de 2011.

70 % 60 50 40 30 20 10

ENE

FEB

MAR

ABR

MAY

JUN

JUL

AGO

SEP

OCT

2011

NOV

DIC

2012

• En aproximadamente el 23 % de los casos de propagación de malware por correo electrónico, el vector de ataque era una dirección URL incluida en el mensaje (en lugar de un archivo adjunto). El año anterior, este porcentaje había sido del 39 %.

Malware basado en Web bloqueado a diario Fuente: Symantec • En 2012, se bloquearon al día unos 247 350 ataques basados en Web.

400 350

• Esta cifra representa un aumento del 30 % con respecto a los 190 370 bloqueados el año anterior.

MILLARES

300 250 200 150 100 50 0 JUL AGO SEP OCT NOV DIC ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC

2011

pág. 35

2012

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

EL MALWARE, EL SPAM Y EL PHISHING ¿Qué tipos de sitio web sufren más ataques? Según los datos obtenidos con Norton Safe Web, una tecnología de Symantec que rastrea Internet en busca de sitios web que contengan malware, sabemos que el 61 % de los sitios web peligrosos para quienes los visitan son, en realidad, sitios web legítimos que han sido infectados con código dañino. En 2012, ocupa el primer puesto la categoría «Empresas» (que abarca tanto el sector servicios como la producción de bienes industriales y de consumo), tal vez debido al número de ataques a pymes sin la protección adecuada para hacerles frente. Le sigue la categoría «Hacking» (sitios web que hacen apología del hacking o facilitan los recursos necesarios para practicarlo), que en 2011 ni siquiera figuraba en los quince primeros puestos de la lista. El 5,7 % de los sitios web infectados se encuadra en la categoría «Tecnología y telecomunicaciones» (Internet, equipos informáticos y servicios de telecomunicaciones). Aunque esto la sitúa en el tercer puesto, la proporción de ataques solo ha disminuido un 1,2 % desde 2011. Los sitios web de comercio electrónico dedicados a la venta de productos y servicios siguen estando entre las cinco primeras categorías, pero tienden a disminuir: el número de sitios web infectados se ha reducido en un 4,1 %. Llama la atención que el alojamiento, que en 2011 se situaba en segundo lugar, haya descendido al séptimo puesto por orden de importancia. Esta categoría engloba los servicios de alojamiento online (sitios web o espacios de almacenamiento) para empresas o consumidores. La caída podría ser consecuencia del auge de Dropbox, Google y otras empresas, que ha ido en detrimento de otras soluciones de alojamiento poco fiables. Los blogs también bajan posiciones en 2012, hasta situarse en el cuarto puesto. Posiblemente se deba a que la gente intercambia más información a través de las redes sociales, que se han convertido en blanco de los desarrolladores de malware. Los atacantes insertan código dañino en la red que quieren atacar, lo cual es bastante fácil, y luego lo difunden por distintos medios.

pág. 36

¿Qué tipos de sitio web sufren más ataques? Fuente: Symantec Puesto

Categorías más afectadas

Porcentaje de sitios web infectados

1

Empresas

7,7 %

2

Hacking

7,6 %

3

Tecnología y telecomunicaciones

5,7 %

4

Blogs

4,5 %

5

Comercio electrónico

3,6 %

6

Dominios que contienen malware

2,6 %

7

Alojamiento

2,3 %

8

Automoción

1,9 %

9

Servicios sanitarios

1,7 %

10

Educación

1,7 %

Los 10 principales tipos de malware en 2012 Fuente: Symantec Puesto

Malware Name

Porcentaje

1

W32.Sality.AE

6,9 %

2

W32.Ramnit.B

5,1 %

3

W32.Downadup.B

4,4 %

4

W32.Virut.CF

2,2 %

5

W32.SillyFDC

1,1 %

6

W32.Mabezat.B

1,1 %

7

W32.Xpaj.B

0,6 %

8

W32.Changeup

0,6 %

9

W32.Downadup

0,5 %

10

W32.Imaut

0,4 %

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

EL MALWARE, EL SPAM Y EL PHISHING Malware de larga duración oculto en los equipos de las víctimas Otra práctica lucrativa para los delincuentes es introducir malware en los ordenadores de las víctimas sin que estas lo sepan. Mediante un entramado de botnets compuesto de miles de ordenadores que actúan a la vez, estos programas envían spam o hacen clic en anuncios de un sitio web, lo que genera ingresos para los propietarios. Aunque estas técnicas no se rentabilizan tan rápidamente como el ransomware, sirven para generar un flujo de ingresos constante porque es frecuente que pasen inadvertidas y, debido a la complejidad del código, son más difíciles de eliminar.

Phishing avanzado En 2012 se envió algo menos de spam, pero aumentaron los ataques de phishing. Los phishers utilizan sitios web falsos cada vez más elaborados —en algunos casos, copias exactas de otros legítimos— para tratar de engañar a las víctimas y conseguir que faciliten contraseñas, datos personales o de tarjetas de crédito e información de acceso a sus cuentas bancarias. Para atraer a las víctimas, antes enviaban sobre todo mensajes de correo electrónico, pero ahora los combinan con enlaces publicados en las redes sociales. Como es lógico, los sitios web más imitados son los de entidades bancarias o empresas de pagos con tarjeta de crédito, pero también los de conocidas redes sociales. En 2012, el número de sitios web fraudulentos que se hacen pasar por redes sociales aumentó en un 123 %.

pág. 37

Un cibercriminal que logre registrar nuestros datos de inicio de sesión en una red social podrá enviar mensajes de phishing a nuestros amigos a través del correo electrónico. Con este método de acercamiento, inspirará mucha más confianza porque la gente no sospecha de sus amigos. Las cuentas pirateadas también se utilizan para enviar mensajes falsos de socorro a los amigos de la víctima. Por ejemplo: «¡Ayudadme, por favor! Estoy de viaje en el extranjero y me han robado la cartera. Necesito que me enviéis 200 euros lo antes posible». Para tratar de eludir el software de seguridad y filtrado, los delincuentes usan direcciones web complejas y servicios anidados de simplificación de direcciones URL. La ingeniería social es otra artimaña para conseguir que las víctimas hagan clic en determinados enlaces. En 2012, quienes la usan centraron sus mensajes en famosos del mundo del deporte, el cine y otros ámbitos, así como en dispositivos atractivos (p. ej., smartphones y tablets). La cifra de sitios web de phishing que utilizan certificados SSL para infundir a las víctimas una falsa sensación de seguridad y robarles sus datos fue un 46 % más alta que en 2011. El inglés no siempre es el idioma vehicular. En comparación con 2011, en 2012 se triplicó el número de sitios web de phishing en otros idiomas (principalmente francés, italiano, portugués, chino y español). En Corea del Sur se observó un aumento considerable.

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

RECOMENDACIONES Protéjase frente a la ingeniería social

Antes de hacer clic, reflexione

Tanto particulares como empresas deberían saber reconocer los signos delatores de la ingeniería social: presionar a la víctima, dirigirse a ella en un tono apremiante o instigador, hacer una oferta demasiado buena como para ser cierta, utilizar falsa jerga burocrática para que un texto parezca auténtico (por ejemplo, referencias con gran cantidad de caracteres numéricos), alegar razones sospechosas (¿de verdad nos escribiría un representante de Microsoft para decirnos que nuestro equipo tiene un virus?) o estafas basadas en un quid pro quo (como que alguien nos ofrezca un regalo a cambio de facilitarle datos personales o confidenciales).

Quizá ese mensaje de correo electrónico que le manda un conocido, su madre o un compañero de trabajo tenga en realidad otra procedencia. Si la persona que se lo envía ha sido víctima de la ingeniería social, puede que hayan secuestrado su cuenta de correo.

pág. 38

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

¿QUÉ NOS DEPARA EL FUTURO?

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

¿QUÉ NOS DEPARA EL FUTURO? Con vistas al año que viene, estas son las tendencias que más nos preocupan y a las que prestaremos más atención: Aumento de los ataques cibernéticos auspiciados por el Estado En los últimos años, los ataques cibernéticos promovidos por el Estado no solo se han extendido, sino que se han vuelto cada vez más complejos. En tiempos de paz, permiten apelar al principio de «negación plausible»; en tiempos de guerra, pueden ser un arma esencial. Sea como sea, en el futuro seguirán siendo un reflejo de las tensiones entre distintos países. También seguirá habiendo ataques que, pese a no estar auspiciados por ningún Estado, sí tienen un trasfondo político. Por ejemplo, un grupo nacionalista podría usarlos como forma de activismo para atacar a quienes, en su opinión, actúan en contra de los intereses de su país. Las empresas y los proveedores de seguridad deben prepararse para afrontar estos ataques y sus daños colaterales, así como extremar las medidas de protección frente a todo tipo de ataques dirigidos.

Metamorfosis de las técnicas de ataque avanzadas Los hackers emplearán técnicas de ingeniería inversa para sacar partido económico a las bases del espionaje industrial o la guerra digital. Por ejemplo, es posible que otros creadores de malware vuelvan a aprovechar las vulnerabilidades de día cero que ya explotó la Elderwood Gang. También aparecerán más kits de herramientas de malware de código abierto, como ya ocurrió con Zeus (también llamado Zbot). Esta nueva tendencia no solo facilita la creación de nuevos tipos de malware, sino que también dificulta el rastreo de los creadores originales y confunde a las autoridades.

pág. 40

Aumento de la peligrosidad de los sitios web Visitar un sitio web será más peligroso, pues aumentará el riesgo de infección mediante descargas no autorizadas y estas serán más difíciles de bloquear si no se utiliza software de seguridad avanzado. Además, se generalizará el uso de la publicidad dañina (malvertising) y los kits de ataque a sitios web. Cuando se detecten vulnerabilidades, los proveedores de software tendrán que intensificar sus esfuerzos por resolverlas. En un mundo dominado por las redes sociales, los usuarios y las empresas para las que trabajan también tendrán que preocuparse más por protegerse y por salvaguardar sus datos confidenciales.

Las redes sociales, un espacio en el que se librarán grandes batallas en materia de seguridad Las redes sociales ya incorporan elementos propios de los sistemas operativos, las plataformas de comunicación y las redes publicitarias. Los usuarios las consultarán cada vez más desde sus dispositivos móviles y pronto se añadirán mecanismos de pago, lo que las hará más atractivas para los delincuentes y las expondrá aún más al malware, el phishing, el spam y las estafas. Mientras que las formas tradicionales de estas amenazas se mantendrán estables o decaerán ligeramente, habrá una explosión de ataques en las redes sociales actuales y en las que aparezcan en un futuro. En nuestra opinión, la intersección entre los smartphones y las redes sociales pronto se convertirá en un polvorín. Los delincuentes concentrarán sus ataques en adolescentes, adultos jóvenes y, en general, personas con menos tendencia a resguardar sus datos personales o que, inconscientes del peligro, no suelen tomar medidas para proteger sus dispositivos y evitar ser blanco de estafas.

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

¿QUÉ NOS DEPARA EL FUTURO? Aumento de los ataques a los proveedores de servicios en la nube

Evolución del malware dirigido a dispositivos móviles

Hasta ahora, los robos de datos más graves han afectado a empresas que recopilan gran cantidad de datos personales, como proveedores de servicios sanitarios y empresas de comercio electrónico o juegos. Todo apunta a que, en 2013, aumentarán y se diversificarán los ataques dirigidos a proveedores de software en la nube.

Si las redes sociales se están convirtiendo en el nuevo «sistema operativo» de los ordenadores, los teléfonos móviles y tablets van camino de erigirse en la nueva plataforma de hardware. La cuota de mercado de smartphones y tablets seguirá aumentando y atraerá a los delincuentes. En el caso de los ordenadores, las formas de malware actuales han ido surgiendo a lo largo de más de una década; con los smartphones y tablets, la evolución es mucho más rápida. El año que viene, estas nuevas plataformas sufrirán ataques de ransomware e infecciones provocadas por descargas no autorizadas al visitar un sitio web. Las empresas que las utilicen o permitan el uso de dispositivos personales en la oficina correrán, por tanto, un grave peligro en 2013.

Aparición de tipos de malware más dañinos En un principio, el malware se asociaba principalmente al robo de datos y las botnets. Aunque estos usos no han desaparecido en absoluto, han ido dando paso a otros: antivirus falsos y, en 2012, ataques de ransomware cada vez más frecuentes. Creemos que, con el tiempo, estos ataques serán más agresivos, más profesionales y más difíciles de solucionar. Cuando los delincuentes se den cuenta de lo eficaces que son estos métodos de extorsión, es posible que surjan otras variantes (por ejemplo, malware diseñado para borrar el contenido de un disco duro). En agosto, los ataques Shamoon ya borraron los datos de los equipos infectados. En esencia, si algo es posible, siempre habrá alguien que lo haga; si es rentable, lo hará una multitud.

pág. 41

Phishing persistente Seguirá habiendo robos de identidades porque estas tienen un gran valor para los delincuentes. Además, los ataques de phishing usarán técnicas cada vez más complejas. Por ejemplo, las copias de sitios web legítimos estarán aún más logradas y habrá sitios web de phishing con cifrado SSL. El phishing de nuevo cuño tendrá un carácter más regional y multilingüe, lo que lo hará más eficaz y difícil de bloquear. También seguirá penetrando en las redes sociales, donde intentará aprovechar la viralidad del medio y la credulidad de los usuarios, que tienden a confiar más en los mensajes que reciben por esta vía.

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

REFERENCIAS 1. http://krebsonsecurity.com/2012/03/mastercard-visa-warn-of-processor-breach/ 2. http://www.ic3.gov/media/2012/FraudAlertFinancialInstitutionEmployeeCredentialsTargeted.pdf 3. http://www.symantec.com/content/en/us/about/media/pdfs/b-ponemon-2011-cost-of-data-breach-global.en-us.pdf 4. http://www.symantec.com/connect/blogs/shamoon-attacks 5. Información sobre ataques dirigidos (pág. 16) del informe sobre las amenazas para la seguridad en Internet, abril de 2012 6. http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-elderwood-project.pdf 7. http://www.symantec.com/connect/blogs/cve-2012-1875-exploited-wild-part-1-trojannaid 8. http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-elderwood-project.pdf 9. http://www.symantec.com/connect/blogs/cost-cybercrime-2012 10. http://www.symantec.com/connect/blogs/lizamoon-mass-sql-injection-tried-and-tested-formula 11. http://www.symantec.com/connect/blogs/danger-malware-ahead-please-not-my-site 12. http://www.securityweek.com/comodo-certificates-used-sign-banking-trojans-brazil 13. Según NTSB (National Transportation Safety Board, el organismo regulador de la seguridad en el transporte en EE. UU.), en 2010 murieron en EE. UU. 472 personas en accidentes aéreos y 32 885 en carretera. http://www.ntsb.gov/data/index.html 14. http://www.symantec.com/about/news/release/article.jsp?prid=20120905_02

pág. 42

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

Guía de referencia rápida sobre las soluciones WSS SSL con Extended Validation

• Cifrado de hasta 256 bits.

Para las empresas más conocidas, los certificados SSL con Extended Validation (EV) constituyen una defensa eficaz frente al phishing y son una de las mejores formas de inspirar confianza en Internet. Si la actividad de la empresa se desarrolla enteramente en Internet, su uso puede repercutir muchísimo en los ingresos.

• El sello Norton Secured y la función Symantec Seal-inSearch aumentan las tasas de conversión y el número de enlaces visitados.

Características de los certificados con Extended Validation de Symantec:

• Asistencia a todas horas, todos los días del año.

• Los sitios web protegidos con certificados con Extended Validation dan tranquilidad a quienes los visitan, pues la barra de direcciones verde del navegador indica que han pasado un proceso de verificación exhaustivo.

• La evaluación de vulnerabilidad y el análisis diario contra software malicioso, que se realizan a través de Internet, protegen su sitio web de posibles ataques.

• El asistente SSL de Symantec genera solicitudes de firma de certificado (CSR) e instala certificados de forma automática. • Además, disfrutará de las siguientes ventajas: SSL Installation Checker (comprobador de instalación de certificados SSL), revocación y sustitución gratuitas y una garantía con 1 500 000 USD de cobertura.

Consiga la barra de direcciones verde. https://www.imagineyoursitehere.com

Identified by Norton

La barra de estado de seguridad alterna entre el nombre de la empresa y la autoridad de certificación emisora del certificado Extended Validation que realizó la autenticación.

Sello Norton Secured: El sello Norton Secured, el distintivo de confianza que goza de más reconocimiento en Internet, le ayudará a convertir a los visitantes en clientes. No en vano aparece más de 750 millones de veces al día en sitios web de más de 170 países.

Tecnología AdVantage de Symantec Symantec AdVantage supervisa su sitio web en tiempo real y, en caso de que se infiltre algún tipo de código dañino, lo detecta de inmediato. En lugar de acabar en una lista negra por mostrar anuncios infectados y no darse cuenta hasta que el tráfico descienda en picado, podrá bloquear la red en la que apareció el anuncio. De este modo, protegerá su reputación y garantizará la seguridad de sus clientes.

pág. 43

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

ACERCA DE SYMANTEC Symantec protege la información del mundo y es líder en soluciones de seguridad, copia de seguridad y disponibilidad. Nuestros innovadores productos y servicios protegen a las personas y salvaguardan la información en todo tipo de entornos: desde el dispositivo móvil más pequeño hasta el centro de datos de una empresa o los sistemas alojados en la nube. Nuestra experiencia sin rival en materia de protección de datos, identidades e interacciones brinda a nuestros clientes confianza en un mundo conectado. Visite www.symantec.es para obtener más información o go.symantec.com/socialmedia para conectarse con nosotros en las redes sociales. Más información • Amenazas globales de Symantec.cloud: http://www.symantec.com/es/es/security_response/publications/ threatreport.jsp • Symantec Security Response: http://www.symantec.com/es/es/security_response/ • Página de recursos del informe sobre las amenazas para la seguridad en Internet: http://www.symantec.com/es/es/threatreport/ • Buscador de amenazas de Norton: http://es.norton.com/security_response/threatexplorer/ • Índice de cibercrimen de Norton: http://es.norton.com/cybercrimeindex/ • Symantec Website Security Solutions: www.symantec-wss.com/es

pág. 44

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)

SÍGANOS

COMPARTIR

Si desea los números de teléfono de algún país en particular, consulte nuestro sitio web. Para obtener información sobre productos, llame al: 900 931 298 o +41 26 429 7727 Symantec España Symantec Spain S.L. Parque Empresarial La Finca – Somosaguas, Paseo del Club Deportivo, Edificio 13, oficina D1, 28223 Pozuelo de Alarcón, Madrid, España www.symantec.es/ssl

pág. 45

Symantec Website Security Solutions Informe sobre las amenazas para la seguridad de los sitios web (edición de 2013)